病毒植入、竊聽(tīng)電話(huà)、盜取信息、騷擾廣告……如今,與人們朝夕相處的手機(jī)已被瞄準(zhǔn),成為牟利者的“天堂”,同時(shí)也成為了信息安全保衛(wèi)戰(zhàn)的新“戰(zhàn)場(chǎng)”。移動(dòng)設(shè)備私密性極高,一旦發(fā)生安全問(wèn)題可能侵害百姓的生命財(cái)產(chǎn)安全,嚴(yán)重的可能會(huì)威脅到社會(huì)乃至國(guó)家的安全。然而,目前相關(guān)監(jiān)管措施嚴(yán)重滯后,移動(dòng)安全領(lǐng)域存在法律盲區(qū),導(dǎo)致問(wèn)題難以得到根本解決。
手機(jī)雖小,安全事大。要解決這一存在多年的頑疾,需要社會(huì)各界的不懈努力。
“偷窺”關(guān)鍵人物動(dòng)向威脅國(guó)家安全
近期,中國(guó)互聯(lián)網(wǎng)新聞研究中心發(fā)布了一份報(bào)告——《美國(guó)全球監(jiān)聽(tīng)行動(dòng)紀(jì)錄》。報(bào)告顯示,經(jīng)過(guò)幾個(gè)月的查證,中國(guó)發(fā)現(xiàn)美國(guó)國(guó)家安全局前雇員愛(ài)德華·斯諾登披露的美國(guó)“棱鏡”秘密項(xiàng)目有針對(duì)中國(guó)的竊密行為,內(nèi)容基本屬實(shí)。
這是棱鏡門(mén)事件發(fā)生一年多后,中國(guó)首次對(duì)涉及自身的監(jiān)聽(tīng)竊密問(wèn)題進(jìn)行官方表態(tài)。報(bào)告稱(chēng),美國(guó)的監(jiān)聽(tīng)行動(dòng)涉及到中國(guó)政府和領(lǐng)導(dǎo)人、中資企業(yè)、科研機(jī)構(gòu)、網(wǎng)民、手機(jī)用戶(hù)等。信息安全話(huà)題由此再次觸動(dòng)人們的神經(jīng)。
對(duì)個(gè)體而言的隱私信息,帶來(lái)的可能是經(jīng)濟(jì)損失。但如果隱私信息達(dá)到一定數(shù)量級(jí)的規(guī)模,往往會(huì)上升成社會(huì)公共安全層面或者國(guó)家安全層面的公共事件。業(yè)內(nèi)人士表示,移動(dòng)互聯(lián)網(wǎng)時(shí)代,用戶(hù)信息等大數(shù)據(jù)事關(guān)國(guó)民經(jīng)濟(jì)運(yùn)行和社會(huì)穩(wěn)定,必須引起重視。
“隨著芯片、網(wǎng)絡(luò)、軟件和移動(dòng)通信技術(shù)的發(fā)展,手機(jī)已經(jīng)不單是通話(huà)的工具,手機(jī)和計(jì)算機(jī)之間的差別越來(lái)越模糊;我國(guó)已有數(shù)億人擁有手機(jī),短信等信息交流被大多數(shù)人接受,手機(jī)傳播已成為繼報(bào)紙、廣播、電視、網(wǎng)絡(luò)之后的‘第五媒體’;手機(jī)的商業(yè)應(yīng)用同時(shí)導(dǎo)致手機(jī)泄密事件增多,嚴(yán)重影響到了人們的正常生活;隨著手機(jī)服務(wù)器的出現(xiàn),國(guó)家安全受到新的威脅。”國(guó)務(wù)院發(fā)展研究中心國(guó)際技術(shù)經(jīng)濟(jì)研究所研究員陳寶國(guó)認(rèn)為,手機(jī)的信息管理和傳播功能強(qiáng)大,影響面廣,同時(shí)具備隱蔽性強(qiáng)、靈活機(jī)動(dòng)等特點(diǎn),對(duì)我國(guó)的信息安全、經(jīng)濟(jì)安全和政治安全影響極大。
陳寶國(guó)舉例介紹,手機(jī)定位和竊聽(tīng)可以遠(yuǎn)程監(jiān)控關(guān)鍵人物的動(dòng)向和位置,了解機(jī)密談話(huà)信息,直接威脅國(guó)家領(lǐng)導(dǎo)人等關(guān)鍵人物人身安全。另外,通過(guò)手機(jī)定位,可以掌握一批相關(guān)領(lǐng)域人員整體動(dòng)向,進(jìn)而可以判斷出國(guó)家重大技術(shù)或政策進(jìn)展情況,掌握最新經(jīng)濟(jì)和政治動(dòng)向。
正是基于此,今年4月15日,中央國(guó)家安全委員會(huì)第一次會(huì)議召開(kāi),中共中央總書(shū)記、國(guó)家主席、中央軍委主席、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長(zhǎng)習(xí)近平首次提出要堅(jiān)持“總體國(guó)家安全觀(guān)”,并要求構(gòu)建包括信息安全在內(nèi)的11個(gè)領(lǐng)域安全于一體的國(guó)家安全體系。
“紅、橙、藍(lán)、綠”——國(guó)家信息化專(zhuān)家咨詢(xún)委員會(huì)委員、國(guó)家信息中心專(zhuān)家委員會(huì)主任寧家駿將信息安全由低到高劃分為這四個(gè)等級(jí)。他評(píng)價(jià)中國(guó)近些年信息安全形勢(shì),“確實(shí)比較嚴(yán)峻復(fù)雜,但整體仍屬可控狀態(tài),可以說(shuō)總體安全形勢(shì)是藍(lán)色,局部是橙色”。
寧家駿介紹,自2003年以來(lái),在國(guó)家信息化領(lǐng)導(dǎo)小組的統(tǒng)一部署和指導(dǎo)下,中國(guó)一直加強(qiáng)網(wǎng)絡(luò)信息安全保障體系建設(shè),已經(jīng)初步建立一套比較成功的防護(hù)體系,基本防御了黑客攻擊和信息監(jiān)聽(tīng)竊取,還制定了包括預(yù)警感知、防御、清除、反制等措施,有力打擊了網(wǎng)絡(luò)犯罪,成效顯著。
“如今國(guó)家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,已將信息安全保障體系放在了前所未有的高度來(lái)建設(shè)。發(fā)揮舉國(guó)體制優(yōu)勢(shì)能更好地發(fā)展信息安全產(chǎn)業(yè)。”寧家駿說(shuō)。
中國(guó)科學(xué)院信息工程研究所研究員、信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室常務(wù)副主任林東岱在接受記者采訪(fǎng)時(shí)說(shuō),要實(shí)現(xiàn)信息安全,關(guān)鍵詞在“自主可控”四個(gè)字。“設(shè)備都是人家生產(chǎn)的,而且咱們掌控不了,這是保障國(guó)家信息安全的核心問(wèn)題,是我們要努力克服的問(wèn)題”。
林東岱也向記者坦言,在全球化趨勢(shì)下,不可能所有設(shè)備都由自己生產(chǎn),但至少應(yīng)做到“可控”,即對(duì)一個(gè)產(chǎn)品的安全狀態(tài)有清晰的認(rèn)識(shí)和有效的安全檢測(cè)、安全評(píng)估,保障它不會(huì)出問(wèn)題。
而在技術(shù)和設(shè)備的進(jìn)步之上,林東岱認(rèn)為,更應(yīng)該提高的是國(guó)民的意識(shí)和國(guó)家的法律法規(guī)保障。他建議,在保障信息安全方面要有統(tǒng)籌的考慮,既包括國(guó)民意識(shí)提高,也包括法律法規(guī)完善和技術(shù)進(jìn)步,還包括互相之間的匹配、協(xié)調(diào)。
“從政府相關(guān)部門(mén)到各行業(yè)主管機(jī)構(gòu),已經(jīng)從全局的角度,開(kāi)始對(duì)網(wǎng)絡(luò)安全保障問(wèn)題,進(jìn)行各方面、各層次、各要素統(tǒng)籌規(guī)劃,逐步完善網(wǎng)絡(luò)信息安全制度,力圖在頂層建設(shè)一個(gè)良好的信息安全屏障。”中國(guó)科學(xué)院計(jì)算所研究員、中國(guó)工程院院士倪光南表示。
[page]
手機(jī)泄密防不勝防?
智能手機(jī)的普及,將APP(手機(jī)應(yīng)用程序)推進(jìn)歡宴時(shí)代,一個(gè)個(gè)圓角矩形的小圖標(biāo),在手機(jī)和相關(guān)設(shè)備的桌面上擠作一團(tuán)。
可是,當(dāng)你樂(lè)此不疲地享受APP帶來(lái)的愉悅體驗(yàn)時(shí),殊不知,你的手機(jī)正在“裸奔”——不僅被那些“手腳不干凈”的APP裝上了一雙窺私的眼睛,還被暗地里鑿穿了連接后門(mén)的秘密通道。
于是,你去了哪,給誰(shuí)打了電話(huà),發(fā)了什么短信,訪(fǎng)問(wèn)了什么網(wǎng)站,網(wǎng)購(gòu)了什么商品等信息,當(dāng)然,還有你的手機(jī)號(hào)、通訊錄名單、通話(huà)記錄、地理位置、郵箱賬號(hào)等隱私,都被公開(kāi)在一個(gè)你不知曉的隱秘地方。
“法律界定的滯后和相關(guān)手機(jī)系統(tǒng)的監(jiān)管不到位,讓APP行業(yè)至今無(wú)從監(jiān)管。在掘金移動(dòng)互聯(lián)網(wǎng)的喧囂和躁動(dòng)中,竊取用戶(hù)隱私的行為顯得肆無(wú)忌憚。APP開(kāi)發(fā)行業(yè)根本就沒(méi)有道德底線(xiàn),對(duì)于手機(jī)用戶(hù)隱私信息的保護(hù),完全憑開(kāi)發(fā)者的良心。”在北京開(kāi)有一家APP開(kāi)發(fā)公司的耿洋(化名)淡淡地對(duì)記者說(shuō)道。
隱私憂(yōu)慮不是“杞人憂(yōu)天”
近20年的程序開(kāi)發(fā)經(jīng)驗(yàn)使耿洋成為了這個(gè)圈內(nèi)的資深人士,而他自身也經(jīng)常遭遇隱私泄露的尷尬。一天,一位朋友突然向他發(fā)出生日快樂(lè)的祝福,耿洋很詫異,因?yàn)樗麤](méi)有告訴過(guò)這個(gè)人自己的生日。原來(lái)是一家公司設(shè)計(jì)了一款手機(jī)社交APP,甲與乙認(rèn)識(shí),乙與丙認(rèn)識(shí),那么甲通過(guò)乙就能獲得丙的一些個(gè)人資料。對(duì)于這個(gè)產(chǎn)品,耿洋非常惱火,因?yàn)檫@是未經(jīng)許可泄露他人隱私。
“你經(jīng)常去哪家餐廳?最喜歡什么電影院?回家的路線(xiàn)是什么?這些私密的信息很有可能通過(guò)LBS(Location Based Services,基于位置的服務(wù))被記錄在智能手機(jī)中。”在北京郵電大學(xué)學(xué)習(xí)計(jì)算機(jī)專(zhuān)業(yè)的路晨向記者抱怨說(shuō),“打開(kāi)智能手機(jī),在應(yīng)用程序中查看附近有什么好吃、好玩的,已經(jīng)成為當(dāng)下‘新新人類(lèi)’們青睞的生活方式。但是,在運(yùn)行這些應(yīng)用的時(shí)候,它們幾乎都會(huì)搜集你的位置信息,這些信息是否能得到安全保存、使用非常重要,因?yàn)檫@種泄露將可能導(dǎo)致不可預(yù)料的事件發(fā)生。我現(xiàn)在已經(jīng)不敢在手機(jī)上查信息了,各種推銷(xiāo)的推送太多了。更讓人擔(dān)憂(yōu)的是,個(gè)人用戶(hù)地理位置等個(gè)人隱私一旦被竊取、利用,將可能導(dǎo)致廣告信息騷擾,甚至發(fā)生跟蹤、搶劫等人身傷害事件。”
“況且這已經(jīng)不是‘杞人憂(yōu)天’,前不久就有報(bào)道說(shuō),一個(gè)女孩子因?yàn)樵谖⑿胖蟹窒韨€(gè)人位置,結(jié)果被不法分子跟蹤、搶劫。”在路晨看來(lái),比起個(gè)人電腦,手機(jī)上個(gè)人信息泄露的情況更為嚴(yán)重。“手機(jī)是跟著人跑的,你與誰(shuí)通話(huà)、發(fā)短信,短信的內(nèi)容,你所在的地理位置,你的人際網(wǎng)絡(luò)等等,可以說(shuō)全都在手機(jī)上”。
趨勢(shì)科技(中國(guó)區(qū))業(yè)務(wù)發(fā)展總監(jiān)童寧表示:“現(xiàn)在越來(lái)越多的設(shè)備、應(yīng)用要求獲得用戶(hù)的位置信息,并給用戶(hù)提供基于位置的定制化服務(wù),這是智能化時(shí)代的產(chǎn)物,但也給隱私保護(hù)帶來(lái)了嚴(yán)峻挑戰(zhàn)。雖然很多設(shè)備和應(yīng)用都會(huì)在用戶(hù)使用協(xié)議中,詢(xún)問(wèn)用戶(hù)是否同意提供地理位置信息,但很多用戶(hù)并不會(huì)注意到這些條款,即使注意了,也難以阻止這些設(shè)備或應(yīng)用的行為。”
“值得注意的是,目前炒得沸沸揚(yáng)揚(yáng)的手機(jī)預(yù)裝軟件問(wèn)題也嚴(yán)重威脅著手機(jī)用戶(hù)的隱私安全。部分預(yù)裝軟件私自使用手機(jī)用戶(hù)數(shù)據(jù)就是在侵犯用戶(hù)的隱私權(quán)。”曾對(duì)手機(jī)預(yù)裝軟件進(jìn)行過(guò)專(zhuān)門(mén)研究的北京律師趙虎分析,“很多手機(jī)預(yù)裝軟件隱蔽運(yùn)行于手機(jī)軟件系統(tǒng)后臺(tái),可以調(diào)用用戶(hù)的位置信息、使用習(xí)慣,甚至搜集并上傳用戶(hù)的聯(lián)系人資料,在很大程度上對(duì)用戶(hù)隱私造成影響。”
針對(duì)手機(jī)的隱私泄露問(wèn)題尤其是涉及的竊聽(tīng)情況,南昌大學(xué)計(jì)算機(jī)研究所的研究人員還做過(guò)專(zhuān)門(mén)調(diào)研。“有的竊聽(tīng)不需要在手機(jī)里安裝竊聽(tīng)器,也不需要像網(wǎng)絡(luò)說(shuō)的那樣對(duì)手機(jī)SIM卡做處理。而只要安裝一個(gè)軟件,這個(gè)竊聽(tīng)軟件可能是你無(wú)意中安裝的,也可能是有人在接觸你的手機(jī)后安裝的。”南昌大學(xué)計(jì)算機(jī)研究所副研究員黎鷹介紹道,“這種竊聽(tīng)軟件其實(shí)是木馬,它可能‘寄生’在你下載的某個(gè)APP軟件中,也有可能是你瀏覽網(wǎng)頁(yè)時(shí)一不小心下載的,或者他人給你發(fā)彩信你無(wú)意點(diǎn)開(kāi)導(dǎo)致木馬植入到你的手機(jī)?,F(xiàn)在有的殺毒軟件查不到這種木馬,很多木馬隱藏了起來(lái),一般人很難查到,除非是專(zhuān)業(yè)人士。”
竊取類(lèi)軟件呈三大態(tài)勢(shì)
近日,百度安全實(shí)驗(yàn)室正式發(fā)布了《2014年第二季度移動(dòng)安全報(bào)告》。報(bào)告顯示,在本季度增長(zhǎng)的惡意軟件中,隱私竊取類(lèi)惡意軟件迎來(lái)大規(guī)模爆發(fā)。據(jù)百度安全實(shí)驗(yàn)室的統(tǒng)計(jì)數(shù)據(jù)顯示,和上一季度相比,隱私竊取類(lèi)惡意軟件的比例上漲非常迅速,達(dá)到了17.9%,上漲幅度達(dá)到了57%。
耿洋分析認(rèn)為,手機(jī)軟件收集個(gè)人信息的主要途徑有三種:第一種是在安裝時(shí)有授權(quán)確認(rèn),在使用中涉及用戶(hù)信息時(shí),再次出現(xiàn)授權(quán)確認(rèn)讓用戶(hù)明確知曉;第二種是在用戶(hù)下載安裝軟件時(shí),給出一個(gè)提示讓用戶(hù)確認(rèn);第三種是沒(méi)有經(jīng)過(guò)用戶(hù)任何確認(rèn),直接收集信息。
“此前,不法分子利用惡意軟件主要竊取用戶(hù)的短信和聯(lián)系人信息。但隨著移動(dòng)支付的迅速普及,用戶(hù)可以用手機(jī)完成購(gòu)物,充值,甚至交水電費(fèi)等一系列支付活動(dòng),支付類(lèi)、網(wǎng)銀類(lèi)、網(wǎng)購(gòu)類(lèi)應(yīng)用自然而然地成為了惡意軟件開(kāi)發(fā)者的‘香餑餑’。”經(jīng)百度安全實(shí)驗(yàn)室的專(zhuān)家分析,這些隱私竊取類(lèi)軟件呈現(xiàn)三種態(tài)勢(shì)。
“首先,手機(jī)隱私竊取類(lèi)軟件大量以山寨應(yīng)用方式呈現(xiàn)。”百度安全實(shí)驗(yàn)室的技術(shù)人員介紹說(shuō),據(jù)他們的監(jiān)測(cè)數(shù)據(jù)顯示,網(wǎng)銀、支付、購(gòu)物應(yīng)用和社交應(yīng)用的山寨情況持續(xù)泛濫,目前各種網(wǎng)銀應(yīng)用的山寨版本已經(jīng)超過(guò)了500款。由于這類(lèi)應(yīng)用往往都需要用戶(hù)輸入賬號(hào)密碼,一旦用戶(hù)使用山寨應(yīng)用,就很有可能被盜取賬號(hào)密碼等隱私信息,目前山寨應(yīng)用已成為對(duì)用戶(hù)隱私的最大威脅之一。
“與此同時(shí),技術(shù)手段則更加深入。”上述技術(shù)人員說(shuō),百度安全實(shí)驗(yàn)室近期發(fā)現(xiàn)的一款“聊天剽竊手”病毒,將惡意代碼注入QQ、微信程序進(jìn)程,惡意代碼能夠?qū)崟r(shí)監(jiān)控手機(jī)QQ、微信的聊天內(nèi)容及聯(lián)系人信息,威脅性極高。
“此外,目前還有一種趨勢(shì)便是多種惡意手段的結(jié)合運(yùn)用。”百度安全實(shí)驗(yàn)室的技術(shù)人員說(shuō),總體看來(lái),本季度竊私類(lèi)軟件發(fā)展迅速,技術(shù)也更加深入,用戶(hù)的個(gè)人信息面臨了巨大的風(fēng)險(xiǎn)。
為什么這么多的應(yīng)用會(huì)卷入盜取用戶(hù)信息的惡行?又是誰(shuí)在暗中操作?
“這背后存在一條隱蔽的利益鏈條。目前收集用戶(hù)隱私信息的主要黑手為移動(dòng)廣告公司。眾多的中小應(yīng)用開(kāi)發(fā)商沒(méi)有動(dòng)機(jī)去盜取用戶(hù)信息。為了賺取應(yīng)用內(nèi)置的廣告費(fèi)用,開(kāi)發(fā)商會(huì)與移動(dòng)廣告平臺(tái)簽署協(xié)議,在應(yīng)用中內(nèi)置廣告代碼,真正作惡的正是這些代碼,有廣告商利用應(yīng)用安裝時(shí)獲得的權(quán)限,大量讀取用戶(hù)信息,并上傳至自己的服務(wù)器。”耿洋透露說(shuō),這些廣告公司將用戶(hù)的聯(lián)系人、短信、通話(huà)記錄進(jìn)行綜合分析,作出判斷,從而進(jìn)行精準(zhǔn)的廣告投遞,并以此牟利。目前日益泛濫的垃圾短信也與此相關(guān)。
對(duì)此,公安部第一研究所科學(xué)技術(shù)信息中心副研究員楊衛(wèi)軍說(shuō),數(shù)據(jù)來(lái)源于網(wǎng)民或企業(yè)用戶(hù)的現(xiàn)實(shí)工作與生活,存儲(chǔ)在網(wǎng)際空間,數(shù)據(jù)信息是否為公民或企業(yè)的私有資產(chǎn),權(quán)屬不太明確。目前,在數(shù)據(jù)保護(hù)、交易、責(zé)任等方面的法律法規(guī)落后于實(shí)踐需要。
“數(shù)據(jù)所有權(quán)、使用權(quán)界定尚不明確,亟待規(guī)范。”中國(guó)傳媒大學(xué)政治與法律學(xué)院法律系副主任鄭寧認(rèn)為,信息安全風(fēng)險(xiǎn)存在于數(shù)據(jù)的全生命周期之中,從技術(shù)研發(fā)、產(chǎn)品制造、用戶(hù)使用、服務(wù)管理等各環(huán)節(jié)均要明確安全責(zé)任,對(duì)所涉及到的政府、企業(yè)、數(shù)據(jù)產(chǎn)生者及個(gè)人等,也必須明確各自的安全責(zé)任。在手機(jī)技術(shù)日益發(fā)展的情況下,保護(hù)個(gè)人網(wǎng)絡(luò)隱私就是一個(gè)系統(tǒng)的工程,需要法制手段、技術(shù)能力、保護(hù)意識(shí)、有效溝通、管理監(jiān)控、風(fēng)險(xiǎn)規(guī)避及防范等多方面的聯(lián)合長(zhǎng)期行動(dòng)。
“雖然國(guó)家在目前已經(jīng)實(shí)施的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》中,明確了處理個(gè)人信息要遵循用戶(hù)知情自愿的原則,但專(zhuān)門(mén)的個(gè)人信息保護(hù)法仍然缺失。如何讓我們的隱私在手機(jī)基數(shù)高速發(fā)展的今天‘有路可逃’,這個(gè)問(wèn)題亟待有關(guān)部門(mén)進(jìn)一步解決。”鄭寧說(shuō),目前大多數(shù)手機(jī)應(yīng)用軟件都有能力去肆意搜集個(gè)人信息,限制這些軟件搜集信息就要靠立法。國(guó)家應(yīng)出臺(tái)相關(guān)政策,要求各大應(yīng)用平臺(tái)履行市場(chǎng)監(jiān)督職責(zé),加大對(duì)個(gè)人隱私保護(hù)的審查力度。
此外,中國(guó)信息經(jīng)濟(jì)學(xué)會(huì)理事長(zhǎng)楊培芳呼吁,應(yīng)制定具體的法律法規(guī),現(xiàn)有的行業(yè)監(jiān)管規(guī)定應(yīng)該進(jìn)一步細(xì)化,比如對(duì)惡性軟件給出標(biāo)準(zhǔn)定義。
[page]
手機(jī)“卷錢(qián)”易如反掌?
手機(jī)吸費(fèi)一直是手機(jī)用戶(hù)關(guān)注的話(huà)題。與此同時(shí),手機(jī)銀行和相關(guān)支付平臺(tái)的漏洞,也日益成為影響手機(jī)財(cái)產(chǎn)安全問(wèn)題的另一大“禍源”。
根據(jù)360互聯(lián)網(wǎng)安全中心發(fā)布的手機(jī)安全報(bào)告《2013年中國(guó)手機(jī)安全狀況報(bào)告》顯示,2013年360互聯(lián)網(wǎng)安全中心共監(jiān)測(cè)到安卓手機(jī)用戶(hù)感染手機(jī)木馬9747萬(wàn)人次,較2012年增長(zhǎng)了88.3%,平均每天26.7萬(wàn)人次感染。而這些木馬中,會(huì)“吸費(fèi)”的達(dá)到67%。
吸費(fèi)木馬隱蔽作案難察覺(jué)
“360手機(jī)安全中心在進(jìn)行正常軟件檢測(cè)時(shí)發(fā)現(xiàn),一款名為‘手電筒’的軟件有點(diǎn)可疑。”360手機(jī)安全中心的技術(shù)人員向記者透露說(shuō),“這款‘手電筒’APP與官方正版APP并非同一個(gè)安裝包,這個(gè)軟件被不良開(kāi)發(fā)者二次打包,申請(qǐng)了過(guò)多的敏感權(quán)限。在用戶(hù)享受便捷體驗(yàn)的同時(shí),木馬吸費(fèi)程序已悄然開(kāi)啟。”
“手電筒”吸費(fèi)并非個(gè)例,APP被篡改后植入吸費(fèi)木馬的類(lèi)似情況并不少見(jiàn)。據(jù)《2013年中國(guó)手機(jī)安全狀況報(bào)告》統(tǒng)計(jì),有21%的惡意程序?yàn)閻阂饪圪M(fèi)類(lèi)。
據(jù)了解,惡意扣費(fèi)類(lèi)程序的木馬作者主要目的就是為了牟取暴利,通過(guò)遠(yuǎn)程控制手機(jī)木馬在后臺(tái)私自發(fā)送扣費(fèi)短信,獲取利益。
“有一類(lèi)應(yīng)用程序,向手機(jī)通訊錄的聯(lián)系人群發(fā)短信的同時(shí),也會(huì)造成手機(jī)用戶(hù)的話(huà)費(fèi)損失。”360手機(jī)安全中心的技術(shù)人員介紹說(shuō),目前吸費(fèi)木馬軟件的作者會(huì)采用兩種隱蔽的方法防止用戶(hù)發(fā)現(xiàn)自己被吸費(fèi),第一是屏蔽扣費(fèi)的回復(fù)短信;第二是監(jiān)測(cè)手機(jī)的安全環(huán)境,如果用戶(hù)手機(jī)中安裝有安全類(lèi)軟件,吸費(fèi)木馬軟件就會(huì)暫時(shí)潛伏在手機(jī)中,不會(huì)觸發(fā)惡意行為。
銀行類(lèi)手機(jī)APP整體安全堪憂(yōu)
近年來(lái),手機(jī)支付大潮興起。2014年2月17日,央行發(fā)布《2013年支付體系運(yùn)行總體情況》顯示,2013年手機(jī)支付業(yè)務(wù)保持高位增長(zhǎng),手機(jī)支付業(yè)務(wù)16.74億筆,金額達(dá)到9.64萬(wàn)億元,同比分別增長(zhǎng)212.86%和317.56%。移動(dòng)終端軟件以“用戶(hù)利益”為突破點(diǎn),使手機(jī)支付業(yè)務(wù)遍及我們的個(gè)人生活脈絡(luò)。
與此同時(shí),手機(jī)銀行也帶來(lái)了很大的安全隱患。據(jù)近期發(fā)布的《2014年第二期中國(guó)移動(dòng)支付安全報(bào)告》顯示,在對(duì)16款銀行客戶(hù)端的登錄機(jī)制安全性進(jìn)行測(cè)評(píng)的過(guò)程中,賬號(hào)密碼+短信驗(yàn)證登錄的方式依舊存在安全隱患。
“前幾天,我收到升級(jí)手機(jī)銀行客戶(hù)端的短信提醒,就登錄到短信上顯示的網(wǎng)址下載并安裝新的客戶(hù)端,隨后我在登錄界面輸入了賬號(hào)信息,點(diǎn)擊界面中的‘提交’按鈕后,卻被提示‘系統(tǒng)正在升級(jí)驗(yàn)證中,請(qǐng)稍后’。”在經(jīng)過(guò)幾次嘗試登錄失敗之后,北京市民陳女士收到了銀行卡已被支取50000元的短信通知。
“陳女士收到的短信中的網(wǎng)址鏈接所下載的軟件遭到木馬篡改,黑客通過(guò)木馬已經(jīng)完全獲取了陳女士的網(wǎng)銀賬號(hào)、網(wǎng)銀密碼和短信驗(yàn)證碼。黑客使用這三組數(shù)字,就能在另外一部手機(jī)上登錄用戶(hù)賬戶(hù)并進(jìn)行消費(fèi)。銀行發(fā)送到陳女士原來(lái)的手機(jī)號(hào)碼的各種短信,已經(jīng)被木馬攔截并轉(zhuǎn)發(fā)到了黑客控制的號(hào)碼上。黑客可以輕松使用盜來(lái)的陳女士賬戶(hù)進(jìn)行各種網(wǎng)上支付,從而盜刷陳女士的銀行資金。”在北京市從事APP開(kāi)發(fā)的鄭冰向記者這樣解釋說(shuō)。
《手機(jī)銀行客戶(hù)端安全性測(cè)評(píng)報(bào)告》稱(chēng),很多支付安全性問(wèn)題難以靠手機(jī)銀行客戶(hù)端軟件單獨(dú)解決,銀行類(lèi)手機(jī)APP整體安全狀況堪憂(yōu)。
監(jiān)管真空地帶亟待統(tǒng)一治理
“在利益的驅(qū)動(dòng)下,手機(jī)病毒目前已經(jīng)形成了一個(gè)由生產(chǎn)、制作到銷(xiāo)售的產(chǎn)業(yè)鏈。”北京師范大學(xué)法學(xué)院教授、亞太網(wǎng)絡(luò)法律研究中心主任劉德良說(shuō)。
一位手機(jī)預(yù)裝行業(yè)的業(yè)內(nèi)人士透露說(shuō),手機(jī)廠(chǎng)家以及各級(jí)代理商、銷(xiāo)售商與軟件商之間的利益?zhèn)鬟f,除了有預(yù)裝軟件激活收費(fèi)的模式之外,還存在一種利益分成的模式。軟件商在獲利之后,一般要進(jìn)行三七比例的分成,其中7成利潤(rùn)要付給起到廣告作用的軟件預(yù)裝方。業(yè)內(nèi)人士強(qiáng)調(diào),使用這種計(jì)費(fèi)模式的一般是電商類(lèi)的公司,而他們也因此獲利頗豐。
早在2013年4月,工信部就發(fā)布了《關(guān)于加強(qiáng)移動(dòng)智能終端管理的通知》,要求手機(jī)生產(chǎn)商不得預(yù)裝五大類(lèi)惡意軟件。然而,記者注意到,針對(duì)這方面,目前還缺乏監(jiān)管措施。
“特別是手機(jī)從出廠(chǎng)到消費(fèi)者的這一時(shí)間段處在監(jiān)管真空地帶,為惡意軟件預(yù)裝手機(jī)提供了可乘之機(jī)。”中國(guó)移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟秘書(shū)長(zhǎng)李易此前在接受記者采訪(fǎng)時(shí)說(shuō)。
同時(shí),令人遺憾的是,雖然目前不論是手機(jī)銀行還是其他APP各類(lèi)應(yīng)用程序正成為人們與互聯(lián)網(wǎng)連接的通道,然而,這個(gè)通道卻沒(méi)有一個(gè)“守門(mén)人”。
“APP從開(kāi)發(fā)到上線(xiàn),幾乎找不到監(jiān)管部門(mén)。程序開(kāi)發(fā)商和商店運(yùn)營(yíng)商一般不會(huì)向任何部門(mén)送檢,而且他們也找不這樣的部門(mén),所以,APP的安全性就取決于業(yè)界良心了。”鄭冰向記者坦言。
中國(guó)傳媒大學(xué)政治與法律學(xué)院法律系副主任鄭寧向記者介紹說(shuō),針對(duì)上述種種問(wèn)題,相關(guān)政府部門(mén)已經(jīng)出臺(tái)了一些標(biāo)準(zhǔn)。他認(rèn)為,治理手機(jī)病毒需要用戶(hù)、安全廠(chǎng)商、運(yùn)營(yíng)商、手機(jī)廠(chǎng)商、應(yīng)用商店等整個(gè)產(chǎn)業(yè)鏈的共同努力。首先從產(chǎn)業(yè)鏈的上游對(duì)病毒進(jìn)行扼殺;其次,用戶(hù)要養(yǎng)成良好的使用習(xí)慣,選擇具有安全認(rèn)證的下載渠道,同時(shí)安裝專(zhuān)業(yè)安全防護(hù)軟件。